Klage over manglende kryptering

Dato: 02-07-2019
Afgørelse Private virksomheder Ingen kritik Behandlingssikkerhed Usikker transmission

I en konkret sag om kryptering af e-mails havde Lowell Danmark A/S foretaget en risikovurdering, hvor fremgangsmåden blev vurderet som en passende sikkerhedsforanstaltning af Datatilsynet.

Journalnummer: 2019-31-1263 

Resumé

Datatilsynet har behandlet en klage, hvor en borger har klaget over, at Lowell Danmark A/S har sendt fortrolige oplysninger om borgeren ukrypteret over internettet.

Datatilsynet traf den 26. juni 2019 afgørelse i sagen. Efter Datatilsynets opfattelse var Lowell Danmark A/S' behandling af oplysningerne om borgeren sket i overensstemmelse med databeskyttelsesforordningens artikel 32, stk. 1.

Afgørelsen skal ses som et konkret begrundet eksempel på, at en dataansvarlig kan anvende en opportunistisk TLS 1.2-kryptering (kryptering på transportlaget, der kun virker, hvis modtagerens server understøtter det), når der fremsendes fortrolige oplysninger over internettet, hvis den dataansvarlige ud fra en risikovurdering korrekt har vurderet, at en sådan opsætning udgør en passende sikkerhedsforanstaltning.

I den konkrete sag havde Lowell Danmark A/S blandt andet lagt vægt på, at det generelt kun er et fåtal af deres modtagere, der benytter sig af meget gamle e-mailklientversioner eller tjenesteudbydere, hvor en e-mail vil blive sendt ukrypteret, og at de konkret vurderer dette for de enkelte modtagere. De e-mails, sagen handler om, var i øvrigt afsendt krypteret på transportlaget til klager.

Datatilsynet havde efter det oplyste i sagen ikke grundlag for at tilsidesætte den risikovurdering Lowell Danmark A/S  havde foretaget, og lagde til grund at de tekniske og organisatoriske foranstaltninger i situationen var passende. Efter Datatilsynets opfattelse havde Lowell Danmark A/S således ud fra en risikovurdering implementeret passende sikkerhedsmæssige foranstaltninger jf. databeskyttelsesforordningens artikel 32.

Afgørelse

Datatilsynet vender hermed tilbage i sagen, hvor X den 5. januar 2019 og 19. januar 2019 har klaget til Datatilsynet over Lowell Danmark A/S’ behandling af oplysninger om denne. Datatilsynet skal indledningsvist bemærke, at tilsynet med denne afgørelse ikke har taget stilling til, om Lowell Danmark A/S har haft samtykke til at kommunikere med X over e-mails, da Databeskyttelsesforordningens[1] kapitel II ikke stiller krav til den dataansvarliges metodevalg ved kommunikation med registrerede, herunder om kommunikationen skal ske med fysisk post eller digitalt.

1. Afgørelse

Efter en gennemgang af sagen finder Datatilsynet, at Lowell Danmark A/S’ behandling af Xs personoplysninger har været i overensstemmelse med Databeskyttelsesforordningens artikel 32, stk. 1.

Nedenfor følger en nærmere gennemgang af sagen og en begrundelse for Datatilsynets afgørelse.

2. Sagens omstændigheder

Det fremgår af sagen, at Lowell Danmark A/S den 5. januar 2019 og 19. januar 2019 har sendt oplysninger om skyldige restancer til Xs e-mail. Det fremgår endvidere af sagen, at Lowell Danmark A/S ved fremsendelsen af de pågældende e-mails har anvendt en – såkaldt – TLS 1.2 kryptering (kryptering på transportlaget) baseret på algoritmen AES256 og at dette er sket med den indstilling der kaldes opportunistisk (hvilket sender mails krypteret under transporten til modtageren, hvis dette understøttes, men ukrypteret såfremt dette ikke understøttes).

3. Parternes bemærkninger

3.1. Dine bemærkninger

X har anført, at Lowell Danmark den 5. januar 2019 og 19. januar 2019 har sendt oplysninger om Xs skyldige restancer til hans e-mail (e-mail adresse) via en ukrypteret forbindelse. X har endvidere anført, at han ikke mener at have givet tilladelse til, at Lowell Danmark A/S kan kontakte ham via e-mail.

3.2. Lowell Danmark A/S bemærkninger

Lowell Danmark A/S har afvist, at de to e-mails blev sendt via en ukrypteret forbindelse.

Lowell Danmark A/S har anført, at fremsendelserne af de omtalte e-mails har været overensstemmelse med den risikovurdering som virksomheden har foretaget i medfør af databeskyttelsesforordningens artikel 32. Virksomheden har i den forbindelse lagt vægt på, at der anvendes sagsnumre i de pågældende e-mails, og at disse er et udtryk for en pseudonymisering af personoplysninger, og at risikoen for, at oplysningerne kommer til uvedkommendes kendskab, er lav. Virksomheden har endvidere lagt vægt på, at e-mails alene fremsendes til debitorer, som aktivt har godkendt brugen af e-mails til kommunikation med Lowell Danmark A/S. Lowell Danmark A/S har i vurderingen lagt vægt på, at det generelt kun er et meget lille fåtal af deres modtagere, der benytter sig af meget gamle e-mailklientversioner eller tjenesteudbydere, hvor en e-mail vil blive sendt ukrypteret, og de konkret vurderer dette for de enkelte modtagere.

Lowell Danmark A/S har anført, at alle e-mails afsendt fra virksomheden –som minimum – bliver sendt med Opportunistic Transport Layer Security (TLS) 1.2 med brug af alle de nyeste cipher suites,
som Office365 supporterer. Den anvendte cipher suite ved fremsendelserne af de omtalte e-mails til X har været ”TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384”. Det er endvidere af virksomheden blevet noteret, at Xs e-maildomæne understøttede Opportunistic TLS.

Lowell Danmark A/S har endeligt anført, at afsendelserne af de to e-mails skete på baggrund af, at X – i forbindelse med et telefonisk fogedretsmøde den DATO. MÅNED ÅR – mundtligt har givet tilladelse hertil, og at virksomheden ikke har haft registreret nogen form for henvendelse fra X, hvor denne har frabedt sig denne henvendelsesform. Lowell Danmark A/S har endvidere oplyst, at X nu er blevet afmeldt denne service, da det på baggrund af klagen til datatilsynet er virksomhedens opfattelse, at han ikke længere ønsker at være tilmeldt denne.

4. Retsregler

Databeskyttelsesforordningens artikel 32, stk. 1, fastslår, at den dataansvarlige, under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings
karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, gennemfører passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici.

Bestemmelsen i databeskyttelsesforordningens artikel 32, stk. 1, indeholder en forpligtelse for den dataansvarlige til at beskytte såvel følsomme oplysninger som fortrolige og almindelige ikkefølsomme
oplysninger, ligesom den dataansvarlige skal sikre sig, at den dataansvarliges systemer, organisation og arbejdsgange indrettes således, at kravene i artikel 32, stk. 1, efterleves.

Det er Datatilsynets opfattelse, at det normalt vil være en passende sikkerhedsforanstaltning – for både offentlige og private aktører – at anvende kryptering ved transmission af fortrolige og følsomme personoplysninger via internettet.

5. Afgørelse

Efter en gennemgang af sagen finder Datatilsynet, at Lowell Danmark A/S’ behandling af Xs personoplysninger er sket i overensstemmelse med Databeskyttelsesforordningens[2] artikel 32, stk. 1. Datatilsynet har herved lagt vægt på det af Lowell Danmark A/S oplyste om, at der er foretaget en risikovurdering, hvor den konkrete fremgangsmåde er skønnet som værende passende sikkerhed, at der ved fremsendelserne af de pågældende e-mails blev anvendt opportunistisk TLS 1.2 kryptering baseret på AES256, at Xs e-mailklient understøttede denne krypteringsform og, at de 2 fremsendte e-mail har været krypteret på transportlaget.

Datatilsynet bemærker, at tilsynet generelt – når der behandles e-mail med følsomme og/eller fortrolige oplysninger – opfordrer den dataansvarlige til at sætte sin mailserver op til, at der gennemtvinges TLS (Forced TLS), som minimum i version 1.2. Det er dog efter tilsynets opfattelse – ikke i sig selv – i strid med databeskyttelsesforordningens artikel 32 at anvende en opportunistisk TLS, såfremt den dataansvarlige ud fra en risikovurdering – korrekt – har vurderet, at en sådan opsætning udgør en passende sikkerhedsforanstaltning.

Datatilsynet har i den konkrete sag ikke fundet holdepunkter der kunne tilsidesætte den af Lowell Damnark A/S foretagne risikovurdering, i forhold til anvendelse af krypteringsform.

Datatilsynet skal dog i den konkrete sag understrege, at en risikovurdering ikke kan tage udgangspunkt i, hvad den registrerede selv måtte have givet tilladelse til, idet en sådan accept ikke kan sidestilles med, hvilket sikkerhedsniveau der er passende.

6. Afsluttende bemærkninger

Lowell Danmark A/S er dags dato orienteret om denne afgørelse.

Datatilsynet anser hermed sagen for afsluttet og foretager sig herefter ikke yderligere i sagen.

 

[1] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).

[2] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).